l********n
发帖数: 1038 | 1 锦江之星等酒店使用的浙江慧达驿站酒店管理系统大规模泄漏了客户隐私记录,这些记
录包含了客户名字、身份证、开房日期和房间号。有程序员还建立了查询网站让人检查
自己的记录是否在里面。酒店管理系统的认证用户名和密码是明文传输,容易被嗅探获
取,而获得认证信息后可以从服务器查询到酒店上传的所有客户开房信息。慧达已证实
了此事。而锦江之星则予以否认
http://wooyun.org/bugs/wooyun-2010-034935 |
k**o
发帖数: 15334 | 2 尼玛任何编程序明文保存密码的,都应该直接拖出去tjjtds。留着也是
浪费粮食+祸害人类 |
t*******y
发帖数: 21396 | 3 前几天如家也泄露了,通过姓名身份证号之类的就能查开房时间地点。
这几天带小三去开房的要睡不着觉了 |
l********n
发帖数: 1038 | 4 是同一起
【在 t*******y 的大作中提到】
: 前几天如家也泄露了,通过姓名身份证号之类的就能查开房时间地点。
: 这几天带小三去开房的要睡不着觉了
|
t*******y
发帖数: 21396 | 5 嗯,都是用了第三方的系统。
【在 l********n 的大作中提到】
: 是同一起
|
l********n
发帖数: 1038 | 6 太不靠谱了,这中国软件业水平真是不行
【在 t*******y 的大作中提到】
: 嗯,都是用了第三方的系统。
|
l******t
发帖数: 55733 | 7 没人用2身份证开房好吧。可以说去打麻将,斗地主
★ 发自iPhone App: ChineseWeb 7.8
【在 t*******y 的大作中提到】
: 前几天如家也泄露了,通过姓名身份证号之类的就能查开房时间地点。
: 这几天带小三去开房的要睡不着觉了
|
n*****t
发帖数: 22014 | 8 毛用,基本没有商业价值,谁整个淘宝数据我买
【在 l********n 的大作中提到】
: 锦江之星等酒店使用的浙江慧达驿站酒店管理系统大规模泄漏了客户隐私记录,这些记
: 录包含了客户名字、身份证、开房日期和房间号。有程序员还建立了查询网站让人检查
: 自己的记录是否在里面。酒店管理系统的认证用户名和密码是明文传输,容易被嗅探获
: 取,而获得认证信息后可以从服务器查询到酒店上传的所有客户开房信息。慧达已证实
: 了此事。而锦江之星则予以否认
: http://wooyun.org/bugs/wooyun-2010-034935
|
t*******y
发帖数: 21396 | 9 国内安全漏洞监测平台乌云(WooYun.org)近日发布报告,称如家、汉庭等大批酒店的开
房记录被第三方存储,并且因为漏洞而泄露。
该漏洞早在8月份就已经被发现并确认,随后按照标准流程通知厂商,并逐步向专家和
技术人员公开,而如今已将漏洞细节公之于众,也交给了CNCERT国家互联网应急中心进
行处理。
漏洞发现者称,如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒
店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒
店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记
录,包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐
私信息。
结果因为某种原因,这些信息是可以被黑客拿到的。
漏洞的根源在于慧达驿站公司管理机制的不完善,因为他们的系统要求酒店在提交开放
记录的时候进行网页认证,但不是在酒店服务器上,而要通过慧达驿站自己的服务器,
理所当然地就存下了客户的信息。
另外,客户信息的数据同步是通过http协议实现的,需要认证,但是认证用户名、密码
竟然是明文传输的,各个途径都可能被轻松嗅探到,用这个认证信息就可以从他们数据
服务器上获得所有酒店上传的客户开房信息。
大部分酒店目前尚未公开回应,不过据称汉庭方面正在努力公关、推卸责任。
【在 l********n 的大作中提到】
: 太不靠谱了,这中国软件业水平真是不行
|
l******t
发帖数: 55733 | 10 没用https
★ 发自iPhone App: ChineseWeb 7.8
【在 k**o 的大作中提到】
: 尼玛任何编程序明文保存密码的,都应该直接拖出去tjjtds。留着也是
: 浪费粮食+祸害人类
|
|
|
t*******y
发帖数: 21396 | 11 斗地主不带老婆去?
和老婆说去天津出差,结果发现那天就在同城不远的如家开房,除非老婆是脑残,否则
没法圆谎啊。
【在 l******t 的大作中提到】
: 没人用2身份证开房好吧。可以说去打麻将,斗地主
:
: ★ 发自iPhone App: ChineseWeb 7.8
|
w***u
发帖数: 17713 | 12 影响得来不易的安定团结的大好局面和建设和谐社会。
【在 n*****t 的大作中提到】
: 毛用,基本没有商业价值,谁整个淘宝数据我买
|
l******t
发帖数: 55733 | 13
还是没有hardcore的证据啊
【在 t*******y 的大作中提到】
: 斗地主不带老婆去?
: 和老婆说去天津出差,结果发现那天就在同城不远的如家开房,除非老婆是脑残,否则
: 没法圆谎啊。
|
c*********e
发帖数: 16335 | 14 是,现在哪个程序员不是用md5,sha1加个salt的?
【在 k**o 的大作中提到】
: 尼玛任何编程序明文保存密码的,都应该直接拖出去tjjtds。留着也是
: 浪费粮食+祸害人类
|
c*********e
发帖数: 16335 | 15 lol
能嫁给当官的人当老婆的,都不是傻子。这事,睁只眼闭只眼就过去了,只要大太太的
地位还在,吃喝玩乐都有就行,关键是有孩子。
【在 t*******y 的大作中提到】
: 斗地主不带老婆去?
: 和老婆说去天津出差,结果发现那天就在同城不远的如家开房,除非老婆是脑残,否则
: 没法圆谎啊。
|
a****8
发帖数: 733 | 16
当官的不用刷证件,都是刷脸或者刷单位,不怕
【在 c*********e 的大作中提到】
: lol
: 能嫁给当官的人当老婆的,都不是傻子。这事,睁只眼闭只眼就过去了,只要大太太的
: 地位还在,吃喝玩乐都有就行,关键是有孩子。
|
